Artigo
Segurança
É preciso "perder a inocência" para se fazer uma boa segurança da informação
O mundo da informação é selvagem. As práticas de interferir e de obter, seja por arranjos interpessoais ou por arranjos técnicos/tecnológicos, o acesso a dados ou a informações de alguém, no ambiente informacional, passam pelas práticas de intrusão, de “delusão” (galicismo para delusion1), de “vazamento” com ou sem a cooperação de insiders e por inusitadas outras práticas refinadas de obtenção de vantagem (inclusive pelo sequestro mediante extorsão) consolidadas definitivamente no ano de 2017.
Algumas práticas buscam interferir com o atributo (ou “princípio”, para alguns) de integridade da informação. As mais recentes variações de conduta maliciosa, como a prática de ransomware, violam o atributo da disponibilidade. Outras interferem com seu atributo da confidencialidade.
Sentido geral da categorização: A perda da inocência
É aí que entra a categorização (leia mais sobre aqui). E por que razão essa "categorização” é importante? Será que os idealizadores originais da ideia de "arranjar" a informação corporativa em "escaninhos e seções" tinham apenas um pendor virtuoso por organização? Essa importante disciplina, que compõe um dos domínios de segurança da informação, serve a um propósito específico? Ou tem em conta apenas um rigor estético e racional?
A resposta a tudo isso é: não há melhor forma de lidar com ataques (de incursão tecnológica ou de engenharia social) do que gerir adequadamente a informação que percorre o “sistema linfático” de uma organização. E essa gestão, por sua vez, não pode prescindir da adequada categorização (ou para aqueles que não estão no âmbito do sistema público brasileiro: da adequada “classificação da informação”) como forma de explicitar a certeza e o adequado tratamento protetivo cultural da informação.
Natureza e existência da informação como tal
Qual a razão dessa imprescindibilidade? A principal razão está no fato de que a adequada categorização traz, para todos os partícipes da corporação, clareza quanto à natureza e sensibilidade da informação com a qual se lida em suas entranhas. Mais do que isso, o exercício de classificar ou categorizar informações representa uma prática de identificar classes e espécimes, com as quais as equipes lidam muitas vezes, que sequer atinam para sua existência específica, tamanha a familiaridade da lida quotidiana. Essa familiaridade ou “intimidade” com a informação e seus artefatos de repositório (pendrives, mídias, papel, lousa, tela, disco rígido, películas) faz com que o dia a dia banalize a própria existência da informação como informação.
No período de realização, pelo Serpro, dos primeiros 25 workshops2 de categorização da informação, pudemos perceber que algumas equipes confundiam os tipos de informação que manipulavam com seus artefatos/repositórios. Outras identificavam informações que eram sigilosas em determinado estado e ostensivas em outro. Em outros casos, havia informações sensíveis que eram supostamente sigilosas mas não encontravam tratamento consonante com esse grau de sensibilidade. Havia, ainda, informações pessoais que transitavam pelo ciclo de vida da informação e que, apesar do término do sigilo, deveriam prosseguir como restritas ao acesso de determinados profissionais3.
O primeiro efeito importante, portanto, é gerar uma desambiguação e uma organização geral.
Certeza quanto à sensibilidade
O segundo corolário da categorização, por outro lado, é o da geração de certeza. Tanto no nível mais operacional da organização quanto no nível mais estratégico, o que pudemos observar é que os partícipes de um determinado processo, seja ele um agente do desenvolvimento, da produção, da atividade de guarda, de controle ou de atendimento têm, muitas vezes, opinião diversa a respeito da confidencialidade, do nível de proteção, da forma de tratamento e da modalidade de guarda de uma dada informação.
A diversidade de opinião é um problema aceitável. Mas na construção de uma matriz de categorização, a categoria e a forma de tratamento dessa informação não pode ser ambígua, sob pena de se gerar incerteza sobre a forma de tratamento de um determinado ativo.
O atacante certamente explorará essa ambiguidade, especialmente pela via de utilização de relações interpessoais. Essa forma de abordagem amplamente conhecida como engenharia social condiz com a habilidade de garantir que o acesso desautorizado à informação sensível se dê pela verossimilhança da demanda ou pela legitimidade do demandante.
Essa forma de “exploração” poderá se dar até mesmo envolvendo uma informação classificada, se a forma de tratamento prescrita para esse sigilo não for plena de clareza e objetividade para todos os envolvidos.
Engenharia social e a "boa segurança da informação"
Sim, certamente a educação que promovamos, a organização que consolidemos em matéria de categorização da informação, a conscientização que façamos no sentido de promover um estado de awareness, de alerta e de atenção enquadram-se, todos, no conceito de cultura de segurança.
O que podemos fazer para fomentar essa cultura? Inúmeras melhores práticas são disseminadas no estado da arte: cursos, seminários, treinamentos, disseminação de metodologia etc são, todas, ações voltadas para o atingimento dessa cultura. Para cada tipo de vulnerabilidade, para cada feição de risco, e para cada hipótese de ameaça, temos inúmeras soluções técnicas (como ferramentas lógicas e físicas), temos inúmeros procedimentos (como o de controle de acesso ou o de monitoração), temos diversos controles.
Contudo, para a ameaça engenharia social só temos uma forma de controle, de ação, de solução: é a implementação de uma robusta cultura de segurança. Não há mais nada a fazer. Engenharia social manipula o elemento humano e este não admite “cercas”, “perímetros”, firewalls, antimalware.
O problema está em que cultura de segurança é elemento difuso, pautado por gaps, por zonas híbridas, planos do conhecimento não mapeados. Por outro lado, e em contrapartida a esse estado difuso da cultura, temos o fato de que:
- Vulnerabilidade é um estado condizente com a ausência ou falha de robustez de um dado elemento.
- Ameaça é a possibilidade de exploração dessa fraqueza.
- Risco, por sua vez, é a dimensão da possibilidade de surgimento de ameaças exploratórias da referida fraqueza.
Se categorização da informação não é, em si mesma, uma garantia de superação de todas as vulnerabilidades e de mitigação de todos os riscos e o bloqueio de todas as ameaças, certamente podemos afirmar que ela contribui de forma relevante para a pavimentação dos gaps, zonas híbridas e conhecimentos não mapeados.
Categorização da informação não insufla certeza, mas insufla, no ambiente, uma clara possibilidade de certeza. Categorização da informação formula “convenção formal” como forma de ataque àquelas avaliações ambíguas ou subjetivas em relação à sensibilidade dos ativos com os quais lidamos.
O colaborador, em uma dada organização, pode até não concordar com a categorização dada a um determinado ativo. Mas sua formalização gera certeza objetiva em relação à conduta que ele, colaborador, deve dispensar à informação corporativa, não apenas para fins de sigilo/proteção, mas também para fins de transparência.
Aliás, em defesa da Lei de Transparência da Informação, devemos dizer que informação protegida não é informação indisponível, mas sim informação tratada de forma adequada aos seus atributos de confidencialidade, integridade e disponibilidade.
- Uma informação absolutamente indisponível é uma informação absolutamente inútil à organização.
- Uma informação absolutamente exposta é uma informação que sujeita a organização à exploração maliciosa de seus detratores.
- Uma informação degradada (não-íntegra) é uma informação que atenta contra a confiabilidade da própria organização.
A boa segurança da informação é aquela que garante à organização o trato de seus ativos de forma adequada com seus próprios fins e propósitos. A boa segurança da informação é aquela que se alinha com os objetivos do negócio. Finalmente, a boa segurança da informação, em sua base, tem início com a categorização de ativos em modo condizente com a direção do negócio.
Referências
1 do lat. deludĕre. Ilusão afetiva, sensitiva ou intelectual; engano, delírio. A expressão preexistente no vernáculo ganhou popularidade no Brasil a partir do clássico hacker “The Art of Delusion”, de Kevin Mitnik, que no momento de desenvolvimento dessas considerações encontrava-se em Brasília, como convidado do evento Brazil Cyber Defence Summit & Expo.
2 Novos eventos como esses ainda estão em curso.
3 Exemplo: dados dos prontuários constantes de auditorias já concluídas. O teor dos artefatos de auditoria já é ostensivo com dever de transparência passiva, mas os prontuários são sigilosos por constituírem “informação pessoal”.
É advogado graduado pela UnB. É mestre em Propriedade Intelectual pela UFPA, e pós-graduado em propriedade intelectual pela GWU (The Minerva Project) e em crimes cibernéticos pela Escola da Magistratura DF. É especialista em Gestão de Segurança da Informação pela UnB e professor pesquisador nesta área no Departamento de Ciência da Computação da UnB. Foi, por 13 anos, consultor jurídico do Serpro. Atualmente, é o titular da Coordenação Estratégica de Gestão de Segurança de Ativos de Informação no Serpro (Cegsi) - unidade que atua prestando orientação de segurança para os serviços de rede, dados, gestão e atendimento.